又一手機勒索軟體現身：不交贖金資料將被永久性破壞

標籤：android   style   blog   http   color   使用   

不久前趨勢科技發現了一款惡意軟體：如果使用者不給“贖金”，病毒就會讓手機變成“板磚”。而最近出現的新勒索軟體則會利用TOR（The Onion Router）匿名服務來隱藏C＆C通訊。

根據趨勢科技偵測的AndroidOS_Locker.HBT樣本分析，我們發現這款惡意軟體會出現畫面通知使用者裝置已經被鎖住，需要支付1000盧布的贖金來解鎖。這個畫面還顯示：如果使用者拒絕支付，那麼手機上的所有資料將會被破壞。

我們所看到會出現這些行為的應用程式樣本出現在了第三方應用程式商店，盜用名稱都有：Sex xonix、Release、Locker、VPlayer、FLVplayer、DayWeekBar和Video Player。使用這些名稱的非惡意版本軟體可以從各種不同應用程式商店下載。

（圖一、給使用者的警告資訊，使用的是俄文）

警告資訊的粗略翻譯為：

“因為下載和安裝軟體nelitsenzionnnogo，你的手機已經依照俄羅斯聯邦軍事準則民法第1252條加以鎖住。要解鎖你的手機需支付1000盧布。 你有48小時的時間支付，否則你手機上的所有資料將永久被破壞！　

1、找到最近的QIWI終端支付系統

2．使用該終端機器，並選擇補充QIWI VISA WALLET

3．輸入號碼79660624806，然後按下一步

4．會出現留言視窗：輸入你的號碼去掉7ki 

5．將錢放入終端機，然後按支付 

6．收到付款後的24小時內，你的手機將會被解鎖。 

7．你可以透過行動商店和Messenger Euronetwork支付

 注意：試圖自己解開手機會導致手機完全被鎖住，所有消失的資料將沒有機會恢複。”

使用者被要求在48小時內用QIWI付款給賬戶79660624806/79151611239/79295382310，或用Monexy付款給賬戶380982049193。

這畫面會持續地出現，不讓使用者去使用他們的手機。同一時間，格式為：Jpeg、jpg、png、Bmp、gif、pdf、doc、docx、txt、avi、mkv、3gp、mp4 的檔案也都會被加密。

勒索軟體Ransomware會通過TOR控制伺服器的通訊裝置。雖然這並不是趨勢科技第一次看到Android惡意軟體利用TOR，但卻是趨勢科技所看到第一個利用TOR的勒索軟體。想到使用者現在儲存在手機上的資料量，趨勢科技預估類似Ransomware的手機勒索軟體還會不停地發展。

對於感染此勒索軟體的使用者，可通過Android Debug Bridge來手動移除這款惡意應用程式。adb是Android SDK的一部分，可以從Android網站免費下載。過程如下：

1．安裝Android SDK到電腦上，包括adb組件

2．通過USB將受感染手機串連到電腦

3．在命令列執行：adb uninstall“org.simplelocker” 指令 

這些步驟對於Android版本低於4.2.2的手機來說並沒有問題。但對4.2.2及之後版本的使用者來說有一個問題：手機會跳出對話方塊來提示使用者按鍵已允許除去錯誤。然而，勒索軟體Ransomware本身的介面會將其中斷，使得手機很難使用adb來進行移除。

而且需要注意的是，在這些案例中，使用者必須在自己手機被感染前就啟用USB去除錯誤；可是要這麼做很困難，因為這些步驟在不同手機上可能都不一樣。此外，啟用USB去除錯誤本身就存在安全風險，因為這意味著如果攻擊者可以拿到手機，就可以輕易地從中取得使用者資訊，而不必在Android鎖定畫面輸入資料。

上述步驟可以刪除勒索軟體Ransomware，卻無法恢複被鎖住的檔案。我們建議使用者使用備份來恢複檔案，不管是線上或離線備份。

（圖二、此次攻擊所用的樣本SHA1雜湊值分析）

瞭解趨勢科技，請點選連結：http://www.trendmicro.com.cn/cn/